前言:中文期刊网精心挑选了安全管理的基本逻辑范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
安全管理的基本逻辑范文1
【关键词】模糊事故树 安全管理 施工 应用
建筑工程的质量是保证建筑物使用性能和使用寿命的基本前提。在我国建筑行业的发展过程中,建筑工程的质量总体来说是好的,大批的优质工程为建筑行业的施工树立了良好的典范。然而,随着社会经济的发展,建设规模的持续扩张和建设进程的不断加快,建筑工程安全事故也随之频频发生。这就迫切需要加强建筑工程的施工管理工作,提高建筑施工中的安全质量。而模糊事故树在施工领域的运用,给建筑施工过程中的安全管理工作带来了新的发展机遇。
一、模糊事故树的概述
事故树分析(FTA)是安全系统工程中最重要的分析方法之一,该方法最早是由美国贝尔电话公司的H.A.Watson和A.B.Mearns于1962 年首先提出的。他们发现,在处理数据时用于描述流程的逻辑方法也可用于描述系统中非期望事件发生的概率。因此,他们首先将逻辑树技术应用于系统安全的研究,这就是所谓的事故树分析方法。
事故树分析是一种表示导致灾害事故的各种因素之间的因果及逻辑关系的树形图,也就是在设计过程中或现有生产系统和作业中,通过对可能造成系统事故的或导致灾害后果的各种因素(包括物、人、环境等)进行分析,根据工艺流程、先后次序和因果关系绘出逻辑图(即事故树),从而确定系统事故原因的各种可能组合方式(即判明灾害或功能事故的发生途径以及导致灾害、功能事故的各种因素之间的关系)及其发生概率,进而计算系统事故概率,并据此采取相应的措施,以提高系统的安全性和可靠性。
二、建筑工程安全管理的重要性及现状分析
施工现场是完成建筑工程的基层单位,也是事故多发部位。众所周知,建筑生产的真正实现是在施工现场完成的,在施工中可能出现的一切辅助过程,如钢筋加工、混凝土搅拌等,也都是围绕场施工生产服务的,因此施工现场是建筑生产的一线单位,真正的建筑生产施工是在这里完成的,由于这里工程量大,也是事故的易发部位,稍有不慎,就有可能发生重大事故,造成人身财产的重大损失。因此,提高施工现场的安全管理水平有着特殊的意义。
加强安全管理工作是建筑行业施工管理工作的一项重要内容。从宏观的角度来说,作为国民经济发展的四大支柱产业之一,建筑业在国民经济的发展建设中占据着十分重要的地位。建筑安全管理是建筑行业提升管理质量、保障施工现场安全性的重要举措。在建筑管理中,安全管理同质量管理都处于第一的位置,两者具有同等的重要性。从某种程度上来说,没有安全的生产形势,长治久安的社会形势就无从谈起。所以,从社会和经济的角度考虑,安全施工不仅仅是建筑行业的问题,还是关系到社会长期稳定的重要问题,是关系到国家长治久安的政治问题。因此,只有高度重视安全管理工作,采取全方位的措施提升施工企业安全管理的水平,才能促进建筑行业平稳、规范、健康的发展,才能保证国民经济各项建设顺利进行。
三、基于模糊事故树的施工安全管理流程
安全管理是指通过采取一定的控制技术和管理活动以保证工程项目达到其安全要求。要想把安全管理能够顺利的贯彻落实下去,就需要使用一定的质量特性来规范安全指标,可以是定性的或者定量的指标。由于安全管理工作贯穿于施工过程的每一个环节,因此要确保避免在施工环节中的施工工艺、技术无法满足规范要求的现象,要及时采取措施达到安全管理的目的。安全管理的目标是确保施工过程中施工现场的人身和财产安全,为实现这一目标需要对施工过程中所有的环节进行实时的监控和管理,及时发现并排除这些环节中有关技术活动偏离规定要求的现象,使其恢复正常,从而达到控制的目的。
(一)重视事前预控
事前控制避免了事后控制的被动性,可以从根源上起到切断事故的危险源、从根本上抑制事故发生的作用,因此应当充分重视事前控制、改善事前控制的质量,以达到保证建筑工程施工质量的目的。做好建筑质量的事前策划是预防质量缺陷、降低质量成本的手段。质量策划的内容包括:根据建筑工程的特点、难点、质量管理目标、管理体系、各项制度及保证实施的计划,按照模糊事故树分析法的基本流程制定完善的预控措施。据此编制出切实可行的施工组织设计、技术方案和技术交底等。
(二)做好过程控制
在工程施工过程中要保证工程符合国家规定的程序,有关手续要齐全;施工单位、监理单位的质量保证体系、管理制度要健全;相关人员要具备相应的资格,操作有依据,工序有控制,验收有标准;单位工程各个层次实体质量符合标准规定等。在保证上述条件满足的前提下,现场施工管理人员要切实做好施工过程把关,及时发现并解决问题。
(三)强化事后控制
事后控制是在管理系统运行产生结果后,用输出的实际结果与计划标准进行比较,发现偏差找出原因,为改进下一期的决策提供依据。事后控制的目的是防止已经发生的偏差继续发展并阻止再度发生,从而对未来工作的开展和改进提供基础,其主要工作包括:对实际工作绩效进行客观的评价;根据评价的结果对有关工作人员和部门进行适当的奖励;深入分析原因并为现行工作的改进和未来工作的开展制定正确的方针、政策、计划和措施。
四、结语
综上所述,建筑工程施工安全管理是关乎施工现场人身和财产安全的重大问题,需要得到施工企业的高度重视。在建筑工程的施工安全管理中,运用模糊事故树的分析方法可以建立起一套科学的关于安全分析评价的数学模型,通过分析、判断、推理的方法对影响施工安全的因素进行分析,从而未采取措施消除这些安全隐患提供了科学依据。
参考文献:
安全管理的基本逻辑范文2
关健词:安全管理;PDCA循环;施工管理
中图分类号:TU714文献标识码:A
引言
PDCA(计划、执行、检查、处理) 循环模式是在TQC(全面质量管理)基础上建立起来的一种质量管理的科学方法。在建设工程质量管理方面过程中,PDCA的应用已趋向成熟,由于建筑工程的质量管理和安全管理是相辅相成的,笔者认为可以将PDCA有效的运用到建筑项目安全管理体系中,从而使建设企业的安全管理工作转化成连续的、动态循环的过程管理,这样能加强安全管理的全方位和系统化,大大提高安全管理水平。
一、PDCA在建设建筑工程项目安全管理的基本原理
PDCA循环是能使任何一项活动有效进行的一种合乎逻辑的工作程序,是人们在管理实践中形成的基本理论方法。根据以往大量的工程实践来看,项目管理的本质是确定任务目标,根据PDCA循环原理来实现这一目标。[1]
PDCA循环的核心内容大概可以分为四个阶段和八个步骤:
第一阶段是计划阶段(即P阶段)。该阶段的主要工作是制定项目安全管理目标、活动计划和管理项目的具体实施措施。这一阶段的具体步骤如下:
(一)分析安全现状,找出存在的安全隐患问题。这就是要有安全问题意识和提高安全意识,并用数据形式体现。[2]
(二)分析安全隐患的各种原因或影响因素。
(三)从各种原因中找出影响安全的主要原因或因素。
(四)针对影响安全的主要原因或因素制定对策,拟定改进安全的管理、技术和组织措施,并提出执行计划和预期效果。
第二阶段是实施阶段(即D阶段)。该阶段的主要工作任务是按照第一阶段所制定的计划,采取相应措施并组织实施。[3]
第三阶段是检查阶段(即C阶段)。该阶段的主要工作重点是把实施效果和预期目标进行对比,检查执行的情况来判断是否达到了预期效果,并进一步查找新的问题。
第四阶段是处理阶段(即A阶段)。该阶段的主要工作任务是对检查结果进行总结和处理。这一阶段分为两步,即管理循环的第七步和第八步。
第七步是总结经验,纳入标准。经过第六步的检查后,明确有效果的措施,通过制定相对应文件、作业标准、规程以及各种安全管理的规章制度,总结成功的经验,避免类似问题再次发生。[4]
第八步是将遗留问题转入下一个循环,通过检查找到效果尚不明显的原因,转入下一个管理循环,为下一期计划完善提供有效的数据资料和依据。[5]
二、PDCA在建设建筑工程项目安全管理中的应用
PDCA循环的成熟运用主要在制造行业的质量管理方面,但由于建筑施工作业的特殊性,在安全管理方面的工作远比质量管理更具有多变性,所以PDCA循环模式在安全管理体系中的侧重点不一样,笔者结合施工现场的管理特点在实际应用中针对具体实施流程加以改进和深化,并在某项工程中的脚手架安全管理方面的得到应用。[5]
本工程为深圳信息职业技术学院迁址新建项目,工程包括深圳信息职业技术学院迁址新建工程学生宿舍A栋、B栋,学生宿舍A栋B栋间的连廊、B栋C栋间的连廊,食堂B和赛时商业中心,深圳信息职业技术学院迁址新建工程架空天桥。建设地点位于深圳市龙岗区,水官高速龙岗出口南侧,总建筑面积为61936m2。学生宿舍主要结构类型为剪力墙结构,赛时商业中心主要结构为框架结构。
因为本工程为深圳市重点创优工程,安全管理的目标是死亡事故为零,杜绝职业病伤害,争创建设部安全文明工地。所以脚手架的安全管理工作是重中之重,本项目商业中心和食堂采用双排落地钢管脚手架,学生宿舍采用悬挑脚手架,在第三层开始悬挑。
笔者经调查发现,在整个脚手架的搭设和施工作业中,存在着不少的安全隐患以及作业人员施工方法不正确的现象。为有效控制安全隐患以及管理的缺失,确保脚手架工程达到优良,项目成立了专项安全小组,借鉴全面质量管理的观点,充分运用因果分析、排列图表及对策表等科学方法揭示了问题的本质,并取得不错的效果。
第一次PDCA循环结束,项目部的安全小组针对脚手架的安全质量问题进行了详细的检查,共检查18处,其中有一处存在潜在安全隐患,三处细小安全问题,最后评估得分为80分,基本满足要求。 结论:第一次PDCA循环目标实现,但还是存在个别安全隐患,安全小组活动目标未能实现,所以须进行第二次PDCA循环。第二次PDCA循环的流程与第一次基本相同,在此不再赘述,因为安全管理工作是不可能做到完美理想的效果,所以循环没有终点,贯穿整个项目,只能不断完善。
三、结论和不足
通过专项安全小组活动,整个工程的脚手架安全工作推进十分顺利。说明PDCA循环在安全管理上同样可得到有效应用,并为今后的项目安全管理工作提供了科学的思路。因为迫于时间关系,某些问题的研究还不是很透彻。所以有待进一步加强的研究工作包括:
(一)从实施PDCA安全管理模式项目的绩效进行总结分析;
(二)通过已有识别和评价方法的基础上,进一步深入研究施工现场,将作业条件危险性评价法和风险评价指数矩阵法相结合,并不断改进评价方法以提高评价结果的客观性。通过对制约施工现场实施PDCA安全管理模式的内外部因素进行系统的梳理分析,以及有关建筑施工安全管理行业标准、规范的不足进行深入分析,可以适当提出相关对策建议报行业主管部门作决策参考。
因为笔者的理论知识有限,本文一定存在不足之处,希望各专家读者多多批评指正,谢谢!
参考文献:
[1] 湖南省村镇砖砌体房屋抗震施工方法及质量控制研究.欧阳攀(导师:陈大川) - 《湖南大学硕士论文》- 2009-05-15.
[2] PDCA模式在建筑施工现场安全管理中的改进应用研究.段益庆(导师:张宏胜;甘永辉) -《重庆大学硕士论文》- 2007-10-01.
[3] 姜芳禄.建筑安全管理的PDCA循环.安全与环境工程.2004.1.
安全管理的基本逻辑范文3
职业院校的信息安全问题对于职业院校的重要程度不言而喻,而信息化程度越高,一旦发生安全事件,职业院校可能遭受的损失也就越大。随着职业院校信息化技术的发展,职业院校信息化的规模正变得越来越大,业务信息系统的集中度也越来越高,特别在云计算技术被应用之后,计算资源被高度的整合和集中,混合着物理设备和虚拟机的职业院校信息化系统的网络安全管理的复杂程度不断提高,这使得传统的网络安全管理方法很难理清信息系统之间的关系,难以发现并避免可能存在的安全问题,也难以寻找到有效的网络安全设备部署位置。随着大数据技术的兴起,职业院校信息化在计算资源被集中整合后,又开始了对数据信息的集中整合,这更加剧了职业院校信息化系统安全管理的重要性,提高了对网络数据传输合法、合规性的安全审核要求。软件定义网络技术是一种以软件定义的方式来管理网络中节点间通信转发技术的统称,将该技术引入职业院校信息化网络环境中,能够有效地让原本复杂且难以管控的网络通信环境变得清晰可控,从而为网络的安全管理提供有力的技术支撑。本文针对职业院校信息化在新型网络环境中的网络安全管理问题,提出了一种从网络控制层面结合职业院校业务模型的有效的网络安全管理解决方案。
二、相关工作
云计算是被认为是继微型计算机、互联网后的第三次IT革命,它不仅是互联网技术发展、优化和组合的结果,也为整个社会信息化带来了全新的服务模式。云计算的定义在业界并未达成共识,不同机构赋予云计算不同的定义和内涵。其中,美国国家标准与技术研究院对云计算的定义是被接受和引用最广泛的。NIST认为,云计算是一个模型,这个模型可以方便地按需访问一个可配置的计算资源(如网络、服务器、存储设备、应用程序以及服务)的公共集。这些资源可以在实现管理成本或服务提供商干预最小化的同时被快速提供和。云模型包括了5个基本特征、3个云服务模式、4个云部署模型。从技术的角度来看,云计算不仅仅是一种新的概念,并行计算和虚拟化也是实现云计算应用的主要技术手段。由于硬件技术的快速发展,使得一台普通的物理服务器所具有的性能远远超过普通的单一用户对硬件性能的需求。因此,在职业院校信息化系统的构建中,通过虚拟化的手段,将一台物理服务器虚拟为多台虚拟机,提供虚拟化服务成了构建职业院校私有云的技术基础。软件定义网络是一种新兴的控制与转发分离并直接可编程的网络架构。传统网络设备耦合的网络架构被分拆成应用、控制、转发三层分离的架构。控制功能被转移到服务器之上,上层应用、底层转发设施被抽象成多个逻辑实体。该研究来源于斯坦福大学的一个名为CleanSlate的项目,其目的是为了在不受现有互联网技术架构的影响下,重新设计新的网络底层实现方案。本文针对新型网络环境下职业院校信息化过程实际存在的问题,结合基于SDN的安全防护技术,提出一种结合职业院校网络业务信息流的逻辑关系的网络安全管理方案,并设计出一种基于可信业务访问关系表的网络安全管理系统,使得网络安全管理能够深度结合职业院校的真实业务逻辑,并实现高灵活、细粒度和高性能的网络安全管理。
三、新型网络环境下职业院校信息化面临的安全挑战
所谓新型网络环境,主要指使用了虚拟化技术来构建职业院校信息化系统的网络环境,这里既包括职业院校私有云的形态也包括仅适用服务器虚拟化技术的职业院校网络环境。在这样的网络环境中,通常用户的业务系统不仅仅存在于虚拟化环境中,由于信息化系统向虚拟化平台迁移并不能瞬间完成,因此在真实的应用场景中,往往会存在混合虚拟化环境和传统物理网络环境的情况。在这样复杂的网络环境下,存在以下几个方面的安全挑战:
(一)业务系统间信息流监测和梳理困难的问题
梳理清楚业务系统间的通信关系,并对业务系统间信息流提供实时的监测功能,对职业院校信息化环境实施安全防护方案有着重要作用,是让安全方案能够真正理解业务安全需求的重要步骤之一。但由于职业院校信息化不断向着计算系统的高度集中化发展,大量的业务主机集中管理在一个大型的网络环境中,如私有云的环境,使得跟踪和监测系统间的信息流变得非常困难:难以找到合适的监测点,并且由于虚拟机和物理主机的数量庞大,难以把分散在各处的监测数据整合起来。
(二)业务系统逻辑网络边界难以界定和隔离的问题
业务系统在使用虚拟机作为服务器后,传统的物理网络边界就失去了意义,虚拟机可以在虚拟化环境中进行漂移。虽然在逻辑上,一个业务系统仍然是由原先那几台服务器构成,但这几台服务器在物理拓扑位置上却并不一定在一起,甚至不固定,可能随着虚拟化环境资源的调配而发生变化,这样就使得以边界防护和隔离为管理目标的传统网络安全管理失去了存在的意义,同时也难以对一个业务系统的边界实施有效的安全隔离。
(三)安全设备监测负载过大、噪音数据过多的问题
在传统网络环境中,监控网络流量需要依靠在交换机上对数据包的捕获,再通过安全设备进行检测分析。而在虚拟化环境中,由于无法找到明确的网络边界,因此若想保证不存在安全监控的盲区,往往需要在所有物理交换机或虚拟交换机上进行抓包,以保证所有可能与被监控业务系统的通信流量都能够被捕获,这样就会在捕获到真正属于被监控业务系统的通信流量的同时,也抓取到大量的不属于被监控系统和主机的干扰数据,从而容易造成用于进行安全检测和防御的安全设备接收到过量的负载而导致处理能力和响应速度受到影响,同时大量的噪音数据也会影响安全检测的准确性,易产生大量的误报警。
四、基于软件定义网络技术的网络安全管理系统
针对上述问题,本文给出了一种基于软件定义网络技术构建的、可与新型职业院校信息化环境紧密结合的网络安全管理系统。采用集中式的管理,基于全景式的系统拓扑和业务关联的相关知识,能够有效地对复杂职业院校信息系统网络环境进行细粒度的信息流梳理和安全管理。为了获得全景式的系统拓扑,并能够提高细粒度的网络流安全管控能力,需要将软件定义网络的基础架构引入到职业院校的信息化网络环境中,即需要让整个网络环境中的软件交换机和硬件交换机都开启对Openflow协议的支持。安全管理系统通过调用SDN网络控制器的北向接口来获得整个网络的拓扑知识,并根据需求操控业务系统间的信息流的转发。在混合了虚拟化(云计算)网络环境和传统物理网络环境的企业信息化网络环境中,传统的物理交换机和虚拟交换机都需要开启Openflow协议的支持。传统物理网络仍然以物理局域网的边界为安全检测和防护的边界,并且可以支持以虚拟局域网的方式在虚拟化环境中使用虚拟机以扩展传统物理局域网的规模。为了能够提供基于业务的安全管理,我们提出采用业务流可信表的方式来关联业务模型与底层的网络流安全管控。系统通过提供管配接口,让安全管理员能够对其职业院校内部的系统进行逻辑边界的建模,形成以逻辑安全边界为管理对象的安全管理模型。业务流可信表则允许用户以软件定义的方式定义业务系统间的可信互访关系,包括业务系统内部主机间的相互访问是否可信,不同业务系统间的相互访问是否可信等规则。互访关系的定义将作为SDN控制器流表的生成规则,当互访关系为可信时,认为是无须监测的业务流,Openflow的流表项上将直接转发至目的节点,不在业务流可信表中的网络流量需要根据对安全设备的配置转发到相应的安全设备接入端口。在整个业务流的安全管理流程中,安全防护和检测的工作由专业的安全设备完成,这些安全设备被接入到职业院校的网络环境中,由安全管理系统统一管理。当用户创建业务系统模型后,即可为该业务系统指定边界安全防护和检测设备,这样就形成了一套完整的、基于业务系统逻辑边界的细粒度安全防护和检测流程。系统在启动后,通过虚拟化管控和SDN管控获得整个网络的拓扑信息,以可视化的方式将这些拓扑信息展现出来,并让用户在此基础上进行业务系统逻辑边界的建模,即指定哪些虚拟机属于一个业务系统。基于已创好的业务系统逻辑边界可在业务流可信表中指定相互间的可信互访关系以及一个业务系统内的主机间的互访是否可信。通过业务流可信关系转换模块将定义好的表项翻译为Openflow的转发规则,并通过SDN管控下发到相应的SDN交换机上。通过业务流可信表对业务逻辑和网络流管控的关联,网络安全管理系统能够对每个通过交换机的网络流进行监控与审计,对于符合业务流可信表定义的网络流直接进行转发,以减小安全设备的负载压力;对于不符合业务流可信表定义的网络流通过SDN的流表转发功能,将其转发至接入的物理安全设备上进行分析和检测,如对于数据库服务器和web服务器之间的连接关系认为是可信的,则他们之间的网络流将被直接转发,而外部主机直接对数据库服务器的访问将被认为不可信而需要被重定向至安全设备进行检测。同时系统也通过对业务流关系的跟踪分析提供基于业务流的安全审计预警能力,从而进一步加强整个系统的安全管理功能。
五、结论
安全管理的基本逻辑范文4
不同于普通的饮食业,体育赛事的饮食提供必须要考虑营养问题。体育赛事的饮食,尤其是提供给运动员的饮食,不但对口感和观感有着很高的要求,对营养方面同样有着非常高的要求。运动员在大强度的训练和比赛的前、中、后及时合理的补充必要的营养物质,才使其能量供应充足,各种营养达到平衡状态,才能保证运动员的身体健康和运动能力的提高,才有利于运动员竞技水平的提高。由于体育赛事饮食场所的就餐人流量大,就餐时间相对集中,而且体育赛事本身持续时间也不长,所以体育赛事的饮食供应与普通餐饮业有着很大的区别。体育赛事食堂必须在短时间内准备充足的原料,能够随时满足就餐者的用餐要求,提供新鲜可口的饭菜饮品,并且做到提供足够的座位,营造和谐的就餐环境。鉴于以前某些体育赛事的饮食供应出现运动员吃不饱或暴饮暴食而导致的各种问题的现象,体育赛事的饮食供应部门应该提前与各个运动队结合,在饮食提供方面做到有计划、有专门的指导或监督。条件许可的情况下应该由运动队自己选择菜单和每个运动员的食物量,交给体育赛事食堂,食堂按照不同队员的不同要求提供个性化的食品。
2HACCP管理模式在大型体育赛事饮食活动的应用
2.1体育赛事饮食安全管理流程图
体育赛事饮食安排一般根据营养要求和运动员的消费需求,每天的食谱不完全重样,食品有近百个品种,基本种类为荤菜、素菜、主食和汤等;食品原料包括肉、禽、鱼、豆制品、蛋、蔬菜、米、面、油、调味品等几十种,运动员饮食基本烹调的方法为炒、炖、蒸、煮、炸,西餐更为复杂;由于餐饮的加工工艺复杂多样,根据对体育赛事的特点进行的分析,参考以前体育赛事饮食安全管理的模式,在查阅大量文献资料的基础上,本研究提出体育赛事饮食安全管理流程图。我们可以根据流程环节来设计具体的管理细节。(如图1)就具体的操作方法来说,我国现在对于体育赛事等大型活动的饮食安全管理采取抽样调查和现场监督相结合的方法。这种饮食安全管理模式的特点是于事前或事后进行监督检查,以及发生问题后对出现的问题进行处理。抽样调查不但要耗费大量的检验试剂、要求精密的检验仪器还要求有足够的专业人才;现场监督则需要众多的卫生监督管理人员的参与。这样效果虽然显著,但是将耗费众多的人力物力,对于像奥运会这样的大型体育赛事更是一笔不菲的开支。
2.2“HACCP”管理模式
现在发达国家出现了一种新的管理模式HACCP(HazardAnalysisandCriticalControlPoint)。HACCP是危害分析和关键控制点的英文缩写,是对食品生产进行“过程控制”的一种系统方法,可以预测哪些环节最可能出现问题,一旦出现问题对人的危害有多大,据此来建立防止这些问题的有效措施,以保证食品安全。这种体系已经被运用在包括食品安全在内的许多管理领域,取得了显著的经济和社会效益,我国也开始了在这方面的尝试。HACCP在韩国已发展到把凉粉、冷冻水饺、面条这些基本食品都一网打尽的程度。2.2.1体育赛事饮食安全的危害分析(HA)(1)确定影响体育赛事饮食安全的主要常见因素。邀请多名具有大型体育赛事或其他大型活动经验的卫生监督管理员,运用文献资料法和头脑风暴法,可以基本确定体育赛事饮食安全中主要存在的条危害因素(可能有很多项,例如有100项)。(2)确定影响体育赛事饮食安全的重要危害因素。邀请多位从事公共卫生、食品卫生管理的专家,对已经找出的以上常见主要危害因素综合考虑,一旦发生将产生的后果和可能发生的几率,按照危害高(包括易发生和不易发生)(5分)、危害中但易发生(4分)、危害中但不易发生(3分)、危害低但易发生(2分)、危害低且不易发生(1分)五个层次进行打分。得到影响体育赛事饮食安全的重要危害因素(例如有50项)。2.2.2大型体育赛事饮食安全的关键控制点(CCP)(1)拟订CCP控制树模型。根据国际通用的CPP控制树模型,参考国内运用于质量管理领域的CCP控制树,建立CCP控制树模型。(2)取得关键控制点。把危害分析中所得到的重要危害因素逐项通过CCP控制树模型的逻辑分析,筛选出以下项目做为体育赛事饮食安全管理的关键控制点(例如20项)。至此,已经得到体育赛事饮食安全管理的关键控制点共20项,按照HACCP理论,对这些关键控制点进行逐个控制、监测,即可达到控制危害、降低风险的目的。但是考虑到体育赛事不同于工业企业,体育赛事的饮食提供也和食品工业的自动化生产有着天壤之别,体育赛事饮食食物原料多样,加工过程复杂,所以如果生搬硬套食品工业的HACCP管理体系,那么很可能会适得其反。所以,结合上文所提出的体育赛事饮食安全管理流程图,结合体育赛事风险管理的特点,对以上得出的体育赛事饮食安全管理中的关键控制点再加以分析,然后提出控制策略。
3结语
安全管理的基本逻辑范文5
[基金项目]教育部人文社会科学研究规划项目(10YJA790182);南京审计学院校级一般项目(NSK2009/B22);江苏省优势学科“审计科学与技术”研究项目
[作者简介]刘国城(1978― ),男,内蒙古赤峰人,南京审计学院讲师,硕士,从事审计理论研究。
第27卷第3期2012年5月审计与经济研究JOURNAL OF AUDIT & ECONOMICSVol.27, No. 3May, 2012
[摘要]在分析中观信息系统风险与损失的成因基础上,借鉴BS7799标准,一方面从物理层次与逻辑层次两个方面研究中观信息系统固有风险的评价模式;另一方面从一般控制与应用控制两个层面探索中观信息系统内部控制的评价机制。基于BS7799标准对中观信息系统审计进行研究,旨在为IT审计师有效实施中观信息系统审计提供应用指南。
[关键词]BS7799标准;中观审计;信息系统审计;内部控制;中观信息系统;中观信息系统风险
[中图分类号]F239.4[文献标识码]A[文章编号]10044833(2012)03005007
所谓中观信息系统审计就是指审计主体依据特定的规范,运用科学系统的程序方法,对中观信息系统网络的运行规程与应用政策实施的一种监督活动,旨在增强中观经济主体特定信息网络的有效性、安全性、机密性与一致性,以保障中观信息系统的高效运行[1]。中观信息系统的审计主体即IT审计师需要重视中观信息系统审计的复杂性,且有必要借助BS7799标准,构建并完善中观信息系统审计的实施流程,优化中观信息系统审计工作,提高审计质量。之所以需要借助BS7799标准,是因为BS7799标准的众多功能可以满足中观信息系统审计工作的需求。在尚未有详细信息系统审计(以下简称“IS审计”)规范的条件下,中观信息系统审计对信息安全管理策略的需求巨大,而BS7799标准恰恰是问世较早且相对成熟的信息安全管理标准,它能够确保在计算机网络系统进行自动通信、信息处理和利用时,在各个物理位置、逻辑区域、存储和传媒介质中,较好地实现保密性、完整性、有效性与可用性,能够在信息管理与计算机科学两个层面加强信息安全管理向中观信息系统审计的理论转化,中观信息系统审计的需求与BS7799标准的功能具备整合的可行性。
一、 BS7799标准
1995年,英国贸工部制定了世界首部信息安全管理体系标准“BS77991:1995《信息安全管理实施规则》”,并作为各类组织实施信息安全管理的指南[2],由于该标准采用建议和指导的方式编写,因而不作为认证标准使用;1998年,英国又制定了信息安全管理体系认证标准“BS77992:1998《信息安全管理体系规范》”,作为对组织信息安全管理体系进行评审认证的标准[3];1999年,英国再次对信息安全管理体系标准进行了修订,形成“BS77991:1999”与“BS77992:1999”这一对配套标准;2000年12月,“BS77991:1999”被ISO/IEC正式采纳为国际标准“ISO/IEC17799:2000《信息技术:信息安全管理实施规则》”,此外,“BS77992:1999”也于2002年底被ISO/IEC作为蓝本修订,成为可用于认证的“ISO/IEC《信息安全管理体系规范》”;2005年,BS77991与BS77992再次改版,使得体系更为完善。BS7799标准体系包含10个管理要项、36个管理目标、127个控制目标及500多个管理要点。管理要项如今已成为组织实施信息安全管理的实用指南;安全控制目标能够帮助组织识别运作过程中影响信息安全的因素。BS77991几乎涵盖了所有的安全议题,它主要告诉IT审计师安全管理的注意事项与安全制度。BS77992详细说明了建立、实施和维护信息安全管理的要求,指出组织在实施过程中需要遵循的风险评估等级,从而识别最应该控制的对象并对自身需求进行适当控制。BS77991为信息系统提供了通用的控制措施,BS77992则为BS77991的具体实施提供了应用指南。
国外相对成熟的信息安全管理理论较多,它们各有千秋,彼此之间相互补充且有交叉。BS7799标准仅是众多信息安全管理理论中的一种,与传统审计方法相比,仅适用于IS审计范畴。然而,BS7799标准的特别之处表现在:其一,它是一部通用的信息安全管理指南,呈现了较为全面的系统安全控制措施,阐述了安全策略和优秀的、具有普遍意义的安全操作方法,能够为IT审计师开展审计工作提供全程支持;其二,它遵循“计划-行动-控制-改善方案”的风险管理思想,首先帮助IT审计师规划信息安全审计的方针和范围,其次在审计风险评估的基础上选择适当的审计方法及风险控制策略并予以实施,制定持续性管理规划,建立并运行科学的中观信息系统审计执行体系。
二、 中观信息系统的风险与损失
中观信息系统风险是指成功利用中观信息系统的脆弱性或漏洞,并造成系统损害的可能性。中观信息系统风险极其庞杂且非常普遍,每个中观信息系统面临的风险都是不同的,这种风险可能是单一的,也可能是组合的[4]。中观信息系统风险包括:人员风险、组织风险、物理环境风险、信息机密性风险、信息完整性风险、系统风险、通信操作风险、设施风险、业务连续性风险、法律风险及黏合风险(见图1),它们共同构成了中观信息系统的风险体系,各种风险除具有各自的特性外,有时还可能相互作用。
中观信息系统风险的成因离不开外来威胁与系统自身的脆弱性,且风险的最终后果就是损失。图1中的“a.威胁性”是系统的“风险源”,它是由于未授权访问、毁坏、数据修改以及拒绝服务等给系统造成潜在危害的任何事件。中观信息系统的威胁来自于人为因素及非人为因素两个方面。人为因素是对中观信息系统造成威胁的决定性力量,人为因素造成威胁的主体有竞争对手、网络黑客、不满员工或正常员工。图1中的“b.脆弱性”是指在系统安全程序、管理控制、物理设计中存在的、可能被攻击者利用来获得未授权信息或破坏关键处理的弱点,由物理环境、技术问题、管理问题、法律问题四个方面组成。图1中的“d.风险承受力”是指在中观信息系统遭遇风险或受到攻击时,维持业务运行最基本的服务和保护信息资产的抵抗力、识别力、恢复力和自适应能力。
中观信息系统风险的产生有两种方式:一是遵循“abc”路径,这条路径形成的风险为中观信息系统“固有风险”,即假定中观信息系统中不存在内部控制制度,从而造成系统存在严重错误与不法行为的可能性。该路径的作用形式为人为因素或非人为因素是风险源,对中观信息系统构成威胁,该威胁产生后寻找并利用系统的脆弱点(假定中观信息系统对该脆弱点没有设计内控制度),当威胁成功作用于脆弱点后,就对系统进行有效攻击,进而产生中观信息系统风险。二是遵循“abPc”路径,该路径所形成的风险为中观信息系统的“控制风险”,即内部控制制度体系未能及时预防或发现系统中的某些错误或不法行为,以致中观信息系统遭受损失的可能性。与“abc”路径比较,该路径多出“P.内部控制”过程,这说明当威胁已产生并将利用系统的脆弱点时,中观经济主体已经对该脆弱点设计了内控制度体系,但是由于内部控制制度设计的不科学、不完善或没有得到有效执行,从而造成内部控制未能阻止“威胁”,致使中观信息系统形成风险。中观信息系统损失的形成遵循“cde”路径。然而,由于中观信息系统自身具有一定的风险防御能力(即“d.风险承受力”),因而并非所有风险都将造成损失。当中观信息系统识别并抵抗部分风险后,最终未能消除的风险通过对系统的负面作用,会给中观信息系统造成间接或直接的损失。
三、 中观信息系统固有风险的评价模式
图1中的“abc”路径是中观信息系统固有风险产生的路径,固有风险形成的条件是“假定不存在内部控制制度”。评价固有风险是中观信息系统审计准备阶段的一项基础工作,只有正确评价固有风险,才能合理评估审计风险,准确确定审计范围并制定审计计划[56]。笔者认为,BS7799标准之所以能够有效评价中观信息系统的固有风险,是因为BS7799标准的管理要项、管理目标,控制措施与管理要点组成了信息安全管理体系,这个体系为IT审计师确定与评价系统固有风险提供了指南[7]。BS7799标准对IT审计师评价固有风险的贡献见上表1。
(一) 物理层次的风险评价
物理层次的内容包括物理环境安全与物理环境设备[7],其中,物理环境安全包括硬件接触控制、预防灾难措施和网络环境安全;物理环境设备包括支持设施、硬件设备和网络物理环境。针对上述分类,下面对物理层次风险评价进行具体分析。
首先是物理环境安全风险评价。在评价物理环境安全风险时,可以借鉴BS7799标准A、B、D1、D3、E、G8、H5、I、J。例如,IT审计师在了解被审中观信息系统的“预防灾难措施”时,可参照“A.安全方针”,依据BS7799对“安全方针”进行阐述,了解被审系统的“信息安全方针”,关注被审系统在相关的“方针与策略”中是否估计到了系统可能遭遇的所有内外部威胁;当威胁发生时,是否有具体的安全保护规定及明确的预防措施;对于方针的执行,是否对每位员工都有所要求。假若IT审计师在审计中未找到被审系统的“安全方针”,或找到了但“安全方针”并未涉及有关“灾难预防”方面的安全措施,则IT审计师可直接认定被审系统在这方面存在固有风险。其次,物理环境设备风险评价。在评价物理环境设备风险时,可以借鉴BS7799标准A、B、C1、D、E2、E3、F6、G3、G8、H5、I、J。例如,IT审计师在了解被审系统有关“硬件设备”的情况时,可参照“C1.资产责任”。BS7799标准对“资产责任”的说明有“组织可根据运作流程与系统结构识别资产,列出清单”,“组织的管理者应该确定专人负责相关资产,防止资产的被盗、丢失与滥用”。借鉴C1的信息安全管理目标与措施,IT审计师可以关注被审单位是否列出了系统硬件设备的清单,是否有专人对资产负责。如果相关方面的管理完备,则说明“硬件设备”在责任方面不存在固有风险,IT审计师也不需要再对此方面的固有风险进行评价。再如,IT审计师在确认“硬件设备”方面的固有风险时,还可参照“E3.通用控制”。BS7799标准对“通用控制”的说明有“定期进行资产清查”,“未经授权,资产不能随便迁移”等。借鉴这一措施,IT审计师需要了解被审系统的有关资产清查记录以及资产转移登记手续,如果相关记录不完整或手续不完备,则IT审计师可直接认定“硬件设备”在控制方面存在固有风险。
(二) 逻辑层次的风险评价
逻辑层次的内容包括软件环境、系统生命周期和逻辑安全[7]。其中,软件环境包括系统软件、网络软件与应用软件;系统生命周期包括系统规划、分析、设计、编码、测试、试运行以及维护;逻辑安全包括软件与数据接触、数据加密机制、数据完整性、入侵检测、病毒与恶意代码以及防火墙。针对以上分类,下面对逻辑层次风险评价进行具体分析。
首先是软件环境风险评价。在评价软件环境风险时可以借鉴BS7799标准A、B、C1、D、E1、E3、F、G、H、I、J。例如,IT审计师在掌握被审系统有关“网络软件”的情况时,可借鉴“G2.用户访问管理”标准。BS7799对该标准的阐述包括“建立用户登记过程,对用户访问实施授权”,“对特权实行严格管理”,“对用户口令进行严格管理”等。借鉴G2下相关信息安全管理措施,IT审计师可以详细核查被审网络软件是否建立了用户注册与登记过程、被审软件的特权管理是否严格、是否要求用户秘密保守口令。假若IT审计师发现用户并未得到访问网络软件的权限却可以轻易访问网络软件,则该软件必然存在风险,IT审计师就可通过与BS7799标准比照并发表评价结论。又如,IT审计师在评价“系统软件”固有风险时,可借鉴“G5.系统访问与使用的监控”标准。该标准的阐述有“使用终端安全登陆程序来访问信息服务”,“对高风险的不活动终端采取时限措施”。IT审计师在评价“系统软件”自身风险时,可套用上述安全措施,逐项分析被审系统软件是否完全达到上述标准并作出合理的风险评价。其次是系统生命周期的风险评价。在评价系统生命周期风险时,可借鉴BS7799标准A、B、D1、D3、E、F1、F2、F3、F4、F6、F7、G、H、I、J。如IT审计师在检查被审系统的“系统设计”时,可参照“H1.系统安全要求”。H1的解释为“系统设计阶段应该充分考虑系统安全性,组织在项目开始阶段需要识别所有的安全要求,并将其作为系统设计开发不可或缺的一部分进行调整与确认”。因而,IT审计师在检查系统设计有关资料时,需要分析被审单位是否把上述解释融入系统设计中,或是否全面、有效地融入设计过程,如果被审单位考虑了诸因素,IT审计师就可以确认被审系统的设计环节在此方面不存在风险。假若IT审计师发现在系统设计阶段被审单位没有考虑到需要“引入控制”,且在系统运营期间对系统的“控制”也不够重视,则IT审计师可以作出系统自身安全及系统设计开发过程存在风险的结论。第三是逻辑安全的风险评价。在评价逻辑安全风险时,可以借鉴BS7799标准A、B、C2、D、E1、E3、F、G1、G2、G4、G5、G6、G7、G8、H、I、J。IT审计师在检查被审系统的“病毒与恶意代码”时,可借鉴“G4.网络访问控制”。BS7799对该标准的阐述有“建立并实施网络用户服务使用方针”,“从用户终端到网络服务的路径必须受到控制”以及“对外部链接的用户进行身份鉴别”等。IT审计师在审计过程中,应该关注被审系统在上述方面的执行思路与执行程度,假若被审单位对上述方面缺乏重视,则恶意用户未经授权或未受限制就能轻易访问系统,系统遭受病毒或恶意代码损害的风险会相应加大。再如,IT审计师在评价系统“数据完整性”的风险时,可借鉴“F1.操作程序与职责”。该标准的描述有“在执行作业的过程中,提供差错处理及例外情况的指导”,“进行职责分离,减少出现非授权更改与数据信息滥用的机会”等。结合上述措施,IT审计师应该关注被审单位是否通过外键、约束、规则等方式保障数据的完整性,如果被审单位没有按照上述方法操作,则被审系统将会在“数据完整性”方面存在风险。
需要强调的是中观信息系统固有风险的评价较为复杂。在理论研究中,本文仅选取BS7799的某些标准举例进行阐述,但在实践中,IT审计师不应只借鉴BS7799标准的单个或部分标准,就做出某方面存在“固有风险”的结论。如仅从C1看,“硬件设备”无固有风险,但从E3看,“硬件设备”确实存在固有风险。鉴于此,IT审计师应由“点”及“面”,全面借鉴BS7799标准的整个体系。只有如此,才能更科学具体地进行物理及逻辑层次的风险评价。
四、 中观信息系统内部控制的评价机制
图1中的“abPc”路径是中观信息系统控制风险产生的路径,控制风险的形成条件是“假定存在内部控制制度,但是内控制度不科学、不健全或执行不到位”,产生控制风险最主要的原因是内部控制机制失效,即“P”过程出现问题。评价内部控制是IT审计师防范审计风险的关键,也是中观信息系统审计实施阶段的一项重要工作。然而,当前我国信息系统审计方面的标准与规范仅有四项,因而IT审计师对信息系统内部控制的评价还处于摸索阶段,急需详细的流程与规范进行指导。笔者认为,BS77991《信息安全管理实施细则》与BS77992《信息安全管理体系规范》能够为IT审计师评价中观信息系统的内部控制提供思路。BS7799是一套完备的信息安全管理体系,IT审计师完全可以借鉴其体系与框架来设计中观信息系统内部控制评价流程,构建适用于中观信息系统的审计流程。BS7799标准的具体借鉴思路见表1,具体阐述如下。
(一) 一般控制的评价
1. 组织管理的内部控制评价
在评价组织管理的内控时,可借鉴BS7799标准A、B、C1、D1、D3、E、F、G、H、I、J。IT审计师可将BS7799标准体系作为信息系统组织管理内部控制的衡量标准,并以此确认被审系统组织管理内控制度的科学性与健全性。假若某中观经济主体将信息系统的部分管理活动外包,则IT审计师可借鉴BS7799中的“B3.外包控制”标准,检查外包合同的全面性与合理性。如果被审单位在外包合同中规定了信息系统的风险、承包主客体各自的系统安全控制程序,并明确规定了“哪些措施必须到位,以保证涉及外包的所有各方关注各自的安全责任”,“哪些措施用以确定与检测信息资产的完整性和保密性”,“采取哪些实物的和逻辑的控制以限制和限定授权用户对系统敏感信息的访问”以及“发生灾难时,采用怎样的策略来维持服务可用性”,则IT审计师就可确认被审系统在外包方面的控制设计具有科学性与全面性,只需再对外包控制条款的执行效果进行评价就可以得出对被审单位外包活动评价的整体结论。
2. 数据资源管理的内部控制评价
在评价数据资源管理的内控时,可以借鉴BS7799标准A、B、C、D、E1、E3、F、G、H、I、J。信息系统数据包括数据字典、权限设置、存储分配、网络地址、硬件配置与系统配置参数,系统数据资源管理有数据存放、备份、恢复等,内容相对复杂。IT审计师在评价数据资源管理的内部控制时,也需要借鉴BS7799标准体系。例如,IT审计师可借鉴“F1.操作程序与职责”或“G6.应用访问控制”评价数据资源管理。F1与G6的阐述有“识别和记录重要数据的更改”、“对数据更改的潜在影响作出评估”、“向所有相关人员传达更改数据的细节”、“数据更改不成功的恢复措施”、“控制用户的数据访问权,如对读、写、删除等进行限制”、“在系统共享中,对敏感的数据实施高级别的保护”。IT审计师在审计时,有必要根据上述思路对系统数据管理的控制制度进行深层次评价。在当前缺乏信息系统审计规范的情况下,以BS7799体系作为评价数据资源管理内部控制的指南,不失为一种好的审计策略。
3. 环境安全管理的内部控制评价
在评价环境安全管理的内控时可以借鉴BS7799标准A、B、C1、D、E、F、G、H、I、J。信息系统的环境安全管理包括物理环境安全管理与软件环境安全管理,系统环境是否安全决定着危险因素对脆弱性的攻击程度,进而决定着信息系统风险。IT审计师在审计系统环境的安全管理过程时,需要关注设备、网络、软件以及硬件等方面。在评价系统环境安全管理的内部控制时,IT审计师有必要借助上述BS7799标准体系。例如,BS7799的“E1.安全区域”标准与“E2.设备安全”标准的解释有“信息处理设施可能受到非法物理访问、盗窃、泄密等威胁,通过建立安全区域、严格进入控制等控制措施对重要的系统设施进行全面保护”,“应该对信息处理设施运作产生不良影响的环境条件加以监控,如,湿度与温度的影响”。类似上述的BS7799系列标准都为IT审计师如何确认环境安全管理的内控提供了审计指导,且其指导思路清晰、全面。IT审计师通过借鉴BS7799系列标准,可以深层次挖掘系统环境安全管理规章制度中存在的疏漏以及执行中存在的问题,从而有效评判环境安全管理的控制风险。
4. 系统运行管理的内部控制评价
在评价系统运行管理的内控时,可以借鉴BS7799标准A、B、C1、D、E1、E3、F、G、H、I、J。中观经济主体对运行系统的管理相对复杂,涉及到系统组织、系统维护、系统完善等多个方面。由于系统运行中需要管理的环节繁多,而且目前也没有规范与流程可以参考,因而,评价系统运行管理的内控也有必要借鉴上述BS7799标准体系。例如,BS7799标准“D2.设备安全”与“H5.开发与支持过程中的安全”的阐述有“信息系统操作者需要接受安全意识培训,熟悉与系统运行相关的安全职责、安全程序与故障制度”,“系统运行中,建立并实施更改控制程序”以及“对操作系统的更改进行技术评审”等方面。IT审计师采用询问、观察、检查、穿行测试等方法评审系统运行管理的内部控制,需要有上述明细的、清晰的信息安全管理规则予以指导,这些标准可以指导IT审计师了解被审系统是否有健全的运行管理规范及是否得到有效运行,借此,IT审计师可以作出全面的内控判断,进而出具正确的审计结论。
(二) 应用控制的评价
信息系统的应用控制包括输入控制、处理控制与输出控制。在评价系统输入控制、处理控制以及输出控制三者的内控时,同样有必要借鉴BS7799标准,且BS7799标准中A、B、D、E1、E3、F1、F2、F3、F4、F5、F7、G1、G2、G4、G5、G6、G7、G8、H、I、J相对应的信息安全管理目标与措施能够在IT审计师对三者进行内控评价时提供相对详尽的审计框架。为确保信息系统输入、处理与输出的信息完整、正确,中观经济主体需要加强对信息系统的应用控制。IT审计师在中观信息系统审计的过程中,需要做到对被审系统应用控制进行正确评价。
在IT审计师对应用控制的符合性测试过程中,上述BS7799标准体系可以对应用控制评价进行全程指导。例如,BS7799标准中“H2.应用系统的安全”提到“数据输入的错误,可以通过双重输入或其他输入检查侦测,建立用于响应输入错误的程序”,“已正确输入的数据可因处理错误或故意行为而被破坏,系统应有确认检查功能以探测数据的破坏”,“为确保所存储的信息相对于各种情况的处理是正确而恰当的,来自应用系统的输出数据应该得到确认”等控制策略,并提出了相对详细的控制措施。应用控制环节是信息处理的脆弱集结点,IT审计师在进行应用控制的符合性测试环节时有必要考虑周全,详尽规划。IT审计师可以遵循H2全面实施针对应用控制的审计,依照BS7799标准体系,检查被审系统对于超范围数值、数据区中的无效字符、丢失的数据、未经认可的控制数据等系统输入问题的控制措施以及应急处理能力;检查是否对系统产生的数据进行了确认,系统的批处理控制措施、平衡控制措施等,以及相关控制行为的执行力度;检查信息输出是否实施了可信性检查、一致性控制等措施,如果有相关措施,那么执行力度如何。BS7799标准体系较为全面,对于IT审计师评价系统的应用控制贡献很大,如果IT审计师能够创造性借鉴该标准,必可做好符合性测试,为实质性测试夯实基础,也定会提高审计质量。
五、 结束语
表1是笔者在分析某商业银行信息系统与某区域物流信息系统的基础上,对“BS7799标准如何应用于信息系统审计”所进行的设计,当针对其他行业时,或许需要对表1进行适当调整。不同行业、不同特性的中观经济主体在信息系统审计中运用BS7799标准时侧重点会有所不同。本文以分析中观信息系统风险为着手点,沿用BS7799标准对中观信息系统审计进行研究,旨在抛砖引玉。
参考文献:
[1]王会金,刘国城.中观经济主体信息系统审计的理论分析及实施路径探索[J].审计与经济研究,2009(5):2731.
[2]BSI.ISO/IEC17799-2000 Information technologycode of practice for information security management[S]. London:British Standards Institation,2000:179202.
[3]BSI.BS779922002 information security managementspecification for information security management systems[S]. London: British Standards Institation,2002:267280
[4]孙强.信息系统审计[M].北京:机械工业出版社,2003.
[5]刘国城,王会金.中观信息系统审计风险的理论探索与体系构架[J].审计研究,2011(2):2128.
[6]王会金.中观信息系统审计风险控制体系研究――以COBIT框架与数据挖掘技术相结合为视角[J].审计与经济研究,2012(1):1623.
[7]科飞管理咨询公司.信息安全管理概论-BS7799理解与实施[M].北京:机械工业出版社, 2002.
BS7799 Criterion and Its Application in Mesoinformation Systems Audit
LIU Guocheng
(Jinshen College of Nanjing Audit University, Nanjing 210029, China)
安全管理的基本逻辑范文6
关键词:计算机;网络安全;管理;对策
随着网络的普及和计算机网络技术的发展,计算机网络已成为人们获取信息的重要方式之一,深入到生活的各个领域。计算机网络打破了地域的限制,以低成本、实时沟通、方便快捷等优势受到众多使用者的青睐。然而,随之而来的网络信息安全问题也一直困扰着网络的管理者和使用者,因此加强计算机信息网络安全管理建设成为当务之急。
1 进行信息网络安全管理的必要性
计算机网络安全管理的目标就是通过采取合适的安全防范制度和手段,保证网络系统中信息的机密性、完整性、可用性、抗抵赖性以及可控性,满足人们在网上进行各种活动的安全需求。随着计算机技术的发展,威胁网络安全的方式和手段也在不断变化,主要有木马病毒、黑客攻击、逻辑炸弹以及内部、外部泄密等。另外进行日常工作对计算机的依赖程度不断增强,相关数据的存储、处理、操作等基本都要通过计算机网络来进行,一旦网络安全存在威胁或者受到攻击,将造成严重后果。进行信息网络安全管理对提高整个网络系统的安全性、可靠性,对保证日常工作正常进行具有重要意义。
2 计算机信息网络安全管理中存在的主要问题
2.1 网络安全管理制度不完善
网络安全管理制度和条例是网络安全管理者进行日常工作的所遵循的依据,对开展网络安全管理工作具有重要作用。现行的管理制度缺乏有效的激励和约束机制,对工作中必要的管理内容和工作没有详细列出,造成网络安全管理工作具有很大的妥协空间,不能有效起到对管理者的约束和激励目的。
2.2 网络安全管理意识不强
网络安全管理关系到整个网络系统数据的安全和有效传递,任何一个可能存在的安全威胁都有可能造成系统崩溃、原始数据遭到窃取或修改等严重后果。管理人员对可能存在的网络安全威胁缺乏足够的重视,认为现在没有对计算机网络造成危害以后也不会造成危害,抱有侥幸心理,为计算机网络安全留下隐患。
2.3 对外来安全威胁缺乏有效措施
缺乏有效的应急机制,当计算机网络受外来威胁时,不能快速采取应对措施,将危害降到最低。外来威胁是计算机网络安全的重要因素之一,计算机网络安全的预防和防范不可忽略外来威胁可能对计算机网络系统的危害。
3 加强计算机信息网络安全管理的对策
3.1 建立健全网络安全管理制度,做到有章可循
“无规矩不成方圆”,对于网络安全管理工作也是如此。没有完善的网络安全管理制度,就会造成网络安全管理工作的混乱,不能有效激励网络安全管理工作人员积极开展工作,对整个网络安全管理都缺乏有效的约束与激励。因此,必须建立健全网络安全管理制度,对工作中涉及到的工作范围、网络安全监控系统、病毒查杀软件的更新、系统漏洞补丁更新以及数据备份等日常工作内容进行明确规定,让网络安全管理人员有章可循。另外可对其他高校的网络安全管理制度进行借鉴,依据本校的实际情况进行制度的完善和修改,切实制定符合本校实际的网络安全管理制度,促使网络安全管理工作的有效开展。
3.2 加强网络管理的安全意识,提高管理人员专业水平
态度决定行为,网络安全管理人员的思想意思会影响其工作的效果。然而网络安全关系到全校师生的正常工作学习,对教学管理和教学活动具有重要影响,因此必须加强网络管理人员的安全意识,确保整个校园网络系统的正常运行。可以通过开展网络安全的专题学习和培训,强化网络安全管理人员对网络安全的重要性认识,改变以往的侥幸心态,在工作管理中以正确的心态对待网络安全管理,正确认识网络安全管理的意义,并通过学习掌握一定的网络安全管理知识,提高网络安全管理水平。
3.3 增强网络安全技术的应用,提高网络抵抗外来威胁能力
网络安全技术的应用是提高网络系统对外来威胁抵抗能力的主要手段之一,合理利用网络安全技术也是增强网络系统安全能力的有效途径。对于校园网络安全来讲,主要应用到的有防火墙、数据维护和备份、数据加密、杀毒软件、以及用户识别与限制等,通过多种网络安全技术的综合运用,对外来威胁进行识别和防范,有效阻止外来威胁进入到校园网络系统。这些技术的应用还需要定期的维护和更新,比如杀毒软件以及软件的病毒库要及时更新,不能识别新产生的病毒和木马,不能有效阻止木马和病毒进入到计算机,进而不能起到保护计算机的功能。
[参考文献]
[1]张宏凯.论计算机网络安全管理的技术与措施[J].江苏:无线互联科技,2012(12):35-35.
[2]张红利.计算机网络安全管理的技术与方法探析[J].北京:科技与生活,2013(01):177-177.
[3]张智.计算机系统安全与计算机网络安全浅析[J].黑龙江:黑龙江科技信息,2013(07):111-111.